Zapisać się

Czym jest oszustwo typu honeypot? Przewodnik po inteligentnych kontraktach Ethereum

Posted on Apr 17, 2026 Автор: Marco Lucchetti
Czym jest oszustwo typu honeypot? Przewodnik po inteligentnych kontraktach Ethereum

Wyobraź sobie sklep. Mały. Bierze od ciebie pieniądze, wręcza paragon, uśmiecha się. Potem cicho zamyka wyjście. Wszystko na półkach jest technicznie twoje. Po prostu nie możesz wyjść z niczym. To jak oszustwo typu honeypot na kryptowalutach. A w 2025 roku dziesiątki tysięcy takich oszukańczych konfiguracji działało w dowolnym momencie w łańcuchu bloków, rozproszone po zdecentralizowanych giełdach, ukryte w złośliwym kodzie inteligentnych kontraktów, którego nikt nie czyta.

Być może nie słyszałeś tego terminu wcześniej. Świetnie. Gdy go poznasz, zauważysz go wszędzie. Token, który w losową środę pompuje 400%, mając 2000 kupujących i zero sprzedających. Portfel, o którym ktoś pisze do Ciebie w wiadomości prywatnej z pytaniem: „Czy możesz mi pomóc wypłacić te pieniądze?”. Moneta, o której celebryta napisał na Twitterze około 10 sekund przed tym, jak wykres przejdzie w pion. Niektóre z nich to honeypoty. Inne nie. Celem tego poradnika jest nauczenie Cię, jak to rozpoznać, bez konieczności posiadania doświadczenia programistycznego.

Najpierw sprawdź skalę. Raport Chainalysis dotyczący przestępstw kryptowalutowych z 2026 roku podaje, że nielegalne adresy kryptowalutowe zarobiły 154 miliardy dolarów w 2025 roku, co stanowi wzrost o 162% rok do roku. Raport FBI dotyczący przestępstw internetowych z 2025 roku oszacował wartość oszustw kryptowalutowych na 11,366 miliarda dolarów, z czego 7,2 miliarda dolarów pochodziło z oszustw inwestycyjnych. Honeypoty stanowią istotną część obu tych liczb. Na Ethereum, Base i BNB Chain są one na porządku dziennym. Pozwólcie, że wyjaśnię, gdzie tak naprawdę kryje się pułapka i jakie podstawowe środki ostrożności należy podjąć, aby jej uniknąć.

Czym jest honeypot w kryptowalutach? Spojrzenie początkującego

Honeypot to pułapka kryptowalutowa, która wygląda jak normalna okazja, ale jest zaprojektowana tak, aby nie można było wypłacić pieniędzy. Nazwa pochodzi od idei czegoś słodkiego pozostawionego na widoku, aby przyciągnąć muchy. W kryptowalutach tym słodkim przedmiotem jest zazwyczaj gorący token, portfel, który wydaje się zawierać darmowe środki, lub strona internetowa obiecująca ogromne zyski.

Oto ważna różnica. Honeypot nie kradnie twoich monet poprzez hakowanie. Nie opróżnia twojego portfela z zewnątrz. Pozwala ci osobiście wysłać określoną ilość kryptowaluty do kontraktu, bez możliwości wyjścia. Po wpłynięciu pieniędzy, oszust przejmuje nad nimi kontrolę. Ty nie.

Typowy honeypot on-chain wygląda następująco: nowy token pojawia się na Uniswap, PancakeSwap lub innym zdecentralizowanym rynku finansowym, który obiecuje zdecentralizować handel tokenami. Wykres pokazuje jego wzrost. Ludzie kupują token. Ty też kupujesz tokeny. Twój portfel pokazuje teraz saldo. Próbujesz sprzedać. Transakcja zostaje cofnięta, kończy się niepowodzeniem lub kończy się z wysoką opłatą za sprzedaż wynoszącą 100%, pozostawiając Cię z niczym. Twoje saldo nadal tam jest. Po prostu nie może się zmienić. Zostajesz z bezwartościowymi tokenami i czekasz na drzwi, które nigdy się nie otworzą, co utrudnia nawet zaklasyfikowanie go jako włamania, ponieważ nie doszło do żadnego ataku bezpośrednio na Ciebie.

garnek miodu

Skąd wzięło się określenie „pojemnik na miód”

To słowo jest starsze niż krypto. Znacznie starsze. „Honeypot” pojawia się z nazwy w książce Clifforda Stolla z 1989 roku „Kukułcze jajo” . Stoll był administratorem systemów w Berkeley Lab. Zauważył błąd księgowy na 75 centów, dostrzegł go i w końcu ścigał hakera powiązanego z KGB po sieciach wojskowych. Fałszywe pliki, które stworzył, żeby haker był zajęty? To były pierwsze honeypoty. Dobry technik.

Kryptowaluty podchwyciły hasło i odwróciły cel. Czterdzieści lat później miód jest skierowany na zwykłych użytkowników kryptowalut. Nie na intruzów. Teraz to ty jesteś muchą. Ta sama struktura pułapki, odwrotna moralność. Kiedy ktoś w kryptowalutach mówi „ten token to honeypot”, ma na myśli, że kod jest zmanipulowany przeciwko każdemu, kto go kupi, zazwyczaj poprzez ukryte ograniczenia ukryte w logice kontraktu, której nikt nie czyta.

Jak krok po kroku działa oszustwo typu honeypot

Większość oszustw typu honeypot przebiega według tego samego schematu. Gdy raz się z tym zetkniesz, w ciągu kilku minut zauważysz nowe warianty.

Zaczyna się od tego, że oszust pisze inteligentny kontrakt. Na pierwszy rzut oka wygląda jak standardowy token. Funkcja kupna działa. Wdraża się go na Ethereum, Base, BNB Chain lub Solanie. Jak dotąd wszystko działa normalnie.

A potem pułapka. Gdzieś w logice sprzedaży, ograniczenie. Może to być czarna lista, która po cichu dodaje każdego nowego kupującego. Może to być 100% podatek od sprzedaży. Może to być funkcja, którą może wywołać tylko właściciel. Może to być osobna umowa pomocnicza, która faktycznie kontroluje transfery. Kupujący mogą wysyłać tokeny, tylko oszust może je wysyłać. Ten sam rezultat, wiele formularzy.

Następnie następuje etap przygotowawczy. Oszust tworzy pulę płynności na zdecentralizowanej giełdzie. Token wygląda na nadający się do handlu. Handlują z użyciem własnych portfeli i trzeciego portfela lub dwóch, aby stworzyć wykres, który wygląda na żywy. Zielone świece, rosnący wolumen. Telegram zaczyna wypełniać się pytaniami „jak kupić”.

Potem promocja na platformach społecznościowych. Czasem opłacani influencerzy. Czasem podszywający się pod znany projekt. Czasem wydarzenie informacyjne, tak jak $SQUID wykorzystał szum wokół gry Squid Game od Netflixa w 2021 roku. Telegram, X, TikTok. Zawsze z naciskiem: „tylko 1000 portfeli może wybić”, „token startuje za 2 godziny”, „cena wzrosła już o 300%”.

Finał jest zawsze taki sam. Ofiary próbują sprzedać. Transakcje sprzedaży są cofane, kończą się niepowodzeniem lub kierują wszystko do portfela oszusta. Zanim czat Telegrama to wykryje, oszust opróżni pulę lub przeniesie środki do trzeciego kontraktu. Martwy kontrakt pozostaje w łańcuchu na zawsze, upamiętniając pułapkę.

Rodzaje pułapek na miód, które faktycznie spotkasz

Honeypoty występują w większej liczbie wariantów, niż większość początkujących się spodziewa. Oto główne rodzaje honeypotów, na jakie ludzie natrafią w 2025 roku.

  • Inteligentny kontrakt blokuje możliwość sprzedaży. Kontrakt odrzuca każdą transakcję sprzedaży z adresu, który nie znajduje się na białej liście. Twoje tokeny będą widoczne w portfelu i nigdy ich nie przeniesiesz.
  • Ukryte pułapki czarnej listy. Każdy nowy kupujący jest po cichu dodawany do czarnej listy w momencie zakupu. Kupowanie działa; sprzedaż kończy się fiaskiem.
  • Pułapki 100% podatku od sprzedaży. Umowa kieruje 100% każdej sprzedaży do portfela „skarbowego” (do oszusta). Teoretycznie sprzedajesz, ale nie otrzymujesz nic.
  • Pułapki płynności. Pula płynności jest jednostronna lub kontrolowana przez osobę ją udostępniającą. Zlecenia sprzedaży kończą się niepowodzeniem, ponieważ po drugiej stronie nie ma nic, albo oszust wykorzystuje płynność do woli.
  • Pułapki związane z funkcją właściciela. Ukryte funkcje dostępne tylko dla właściciela pozwalają oszustom wstrzymać handel, stworzyć nieograniczoną podaż lub zmienić podatki po premierze. Nawet „uczciwa premiera” może stać się pułapką już godzinę później.
  • Pułapki portfela / „darmowego ETH”. To wcale nie jest token. Oszust publikuje portfel z tokenami widocznymi w łańcuchu i udostępnia frazę seed. Próbując wypłacić tokeny, potrzebujesz gazu. Wysyłasz gaz. Bot czyszczący natychmiast go zamiata. Nic nie dostajesz. MetaMask wyraźnie ostrzega przed tym wariantem.
  • Fałszywe pułapki „wsparcia” Etherscan. Ktoś odpowiada na Twój komentarz Etherscan, oferując pomoc. Każą Ci wysłać niewielką ilość ETH do kontraktu „odwrotnego”. Ten kontrakt to kolejny honeypot, który zatrzymuje Twoje ETH.

Solidus Labs skatalogował 98 442 samych kontraktów honeypot on-chain, podzielonych na warianty kontraktów zewnętrznych, bloków płynności i list bloków. Token Sniffer śledzi ponad 47,9 miliona tokenów w 15 łańcuchach i oznacza ponad sześć milionów z nich jako oszustwa. Liczby te nie są małe.

Honeypoty oparte na inteligentnych kontraktach i sztuczka z podatkiem od sprzedaży

Ze wszystkich wariantów, honeypoty oparte na inteligentnych kontraktach w łańcuchach w stylu Ethereum są najpowszechniejsze. Inteligentne kontrakty Ethereum i ich klony w blockchainie Ethereum napędzają większość tych pułapek, a ten schemat pokazuje również, dlaczego zasada „publiczność kodu” nie jest tarczą bezpieczeństwa, za którą wielu początkujących ją uważa.

Z zewnątrz inteligentny kontrakt honeypot wygląda nudno. Dziedziczy on ze standardowej biblioteki OpenZeppelin ERC-20. Ma nazwę, symbol i podaż. Jeśli przejrzysz kod jego inteligentnego kontraktu w eksploratorze bloków, takim jak Etherscan lub BscScan, zobaczysz setki linii. Większość z nich jest nieszkodliwa. Pułapka zazwyczaj kryje się w funkcji `_transfer` lub w oddzielnym, podejrzanym module inteligentnym, który token główny wywołuje przez adres pomocniczy.

Najbardziej elegancką wersją jest sztuczka z podatkiem od sprzedaży. Kontrakt ma zmienną o nazwie `sellTax`. Na starcie wynosi ona 5%, co jest normalne. Dziesięć minut po starcie właściciel wywołuje `setSellTax(100)`. Teraz każda sprzedaż wysyła każdy token do skarbca. Kupowanie nadal działa, ponieważ zakupy przechodzą przez inną funkcję. Dopóki nie zrozumiesz, co czytasz w kodzie, możesz wpatrywać się w kontrakt i nie zauważyć pułapki, ponieważ z zewnątrz wygląda on jak każdy inny token Web3 ERC-20.

Dlatego samodzielne czytanie kodu inteligentnych kontraktów jest zawodne dla początkujących. Potrzebna jest symulacja (przeprowadź test sprzedaży i sprawdź, czy się powiedzie) lub narzędzie, które już zna te wzorce. Honeypot.is, Token Sniffer, De.Fi Scanner, QuillCheck i GoPlus Security – wszystkie te narzędzia przeprowadzają jakąś formę tej analizy. Żadne z nich nie jest niezawodne. Twórcy honeypotów w 2025 roku używają aktualizowalnych kontraktów proxy i opóźnionych wyzwalaczy specjalnie po to, by ominąć statyczne skanery, więc każda próba wykorzystania nowego kontraktu wymaga więcej niż jednego narzędzia.

Pułapki na portfele: pułapka frazy początkowej

Wariant portfelowy zasługuje na osobne wyjaśnienie, ponieważ nie obejmuje żadnego kontraktu tokenowego. MetaMask publikuje oficjalne ostrzeżenie na ten temat, podobnie jak Trezor i Ledger.

Konfiguracja wygląda niewinnie. Nieznajomy na Telegramie, Discordzie lub Twitterze twierdzi, że jest nowicjuszem w kryptowalutach i nie wie, jak wypłacić środki z portfela. Udostępnia frazę źródłową (tak, naprawdę) i wyjaśnia, że portfel jest „zablokowany”, ponieważ zawiera tokeny, ale nie ma gazu. Pyta, czy możesz pomóc i oferuje podzielenie się tym, co jest w środku.

Ładujesz portfel do MetaMask. Widzisz rzeczywiste saldo: trochę USDT, może kilka losowych tokenów. Próbujesz wysłać USDT do siebie. Nie możesz, ponieważ portfel ma zero ETH na gaz. Wysyłasz więc trochę ETH ze swojego portfela, aby pokryć opłatę transakcyjną.

W chwili dotarcia ETH, bot-sweeper, zaprogramowany do monitorowania tego adresu, przesyła każdą przychodzącą walutę do prawdziwego portfela oszusta. Twoje paliwo zniknęło. Tokeny, które myślałeś, że pomagasz uratować, nigdy nie były możliwe do odzyskania. Zostały zablokowane przez ograniczenia kontraktowe lub zamrożone w USDT przez Tether, ponieważ adres został już oznaczony.

Zasada, która temu zapobiega, jest bardzo prosta: nigdy, przenigdy nie ufaj portfelowi, którego frazę źródłową podał ktoś inny. Gdyby faktycznie był jego właścicielem, sam wysłałby środki. Ta pułapka to jeden z najprostszych sposobów, w jaki oszuści wykradają paliwo początkującym, i ma na celu złapanie w pułapkę każdego, kto jest na tyle początkujący, by uwierzyć, że „darmowe pieniądze” są naprawdę darmowe.

garnek miodu

Znane oszustwa typu honeypot: SQUID, HAWK, LIBRA

Prawdziwe przypadki pomagają to zrozumieć.

SQUID (1 listopada 2021 r.). To przykład dla początkujących. Token zyskał na popularności gry Squid od Netflixa. Zakup okazał się sukcesem i wyglądał na eksplozywny. Cena wzrosła z około 0,01 USD do około 2861 USD – wzrost był tak gwałtowny, że nagłośniły go „Washington Post” i BBC. Posiadacze próbowali sprzedać. Nie udało im się. Deweloperzy wypompowali z puli płynności około 3,38 mln USD i zniknęli. Token zanotował spadek o ponad 99,99% w niecałe pięć minut. Czysty honeypot, czyste oszustwo typu exit scam.

HAWK (4 grudnia 2024 r.). Nie jest to klasyczny honeypot oparty na inteligentnych kontraktach, ale wpisuje się w ten sam model mentalny. Token, wprowadzony na rynek przez Haliey „Hawk Tuah” Welch, osiągnął kapitalizację rynkową na poziomie 500 milionów dolarów w dniu premiery. Analiza on-chain przeprowadzona przez Halborna wykazała, że 96% podaży znajdowało się w portfelach osób z wewnątrz organizacji. Kiedy osoby z wewnątrz organizacji wycofały się z transakcji, cena spadła o ponad 95% tego samego dnia. Kupujący zostali z tokenami, które technicznie rzecz biorąc nadal są przedmiotem obrotu i technicznie rzecz biorąc, nadal są bezwartościowe.

LIBRA (14 lutego 2025 r.). Prezydent Argentyny Javier Milei opublikował wpis o tokenie w ciągu kilku minut po jego uruchomieniu. Cena wzrosła od niemal zera do 5,20 USD w ciągu 40 minut. Insiderzy posiadali 70% podaży i wrzucili ją do sieci detalicznej. Straty wyniosły około 251 milionów dolarów. Sprawa jest obecnie przedmiotem federalnego śledztwa i stanowi jeden z najwyraźniejszych przykładów tego, jak poparcie polityczne w połączeniu z szybką płynnością i dostępem insiderów prowadzi do powstania pułapki przypominającej pułapkę, nawet bez niestandardowych pułapek kontraktowych.

Dechat (26 lutego 2024 r.). Jeden ze śledczych wykrył około 3,2 miliona dolarów skradzionych z dziewięciu powiązanych kontraktów honeypot przez jednego atakującego, który wykorzystał przejęte kanały społecznościowe Dechat do dystrybucji złośliwego linku. Przypomina to, że nawet prawdziwe projekty mogą przypadkowo promować honeypot, jeśli ich konta zostaną przejęte.

Honeypot kontra wyłudzanie pieniędzy kontra inne oszustwa kryptowalutowe

Początkujący często używają tych terminów zamiennie. To różne pułapki. Oszustwa typu honeypot w kryptowalutach koncentrują się na blokowaniu wyjść; pozostałe kategorie działają inaczej, chociaż wszystkie działają na tej samej podstawowej dźwigni emocjonalnej, jaką jest pilność i szum medialny.

Typ oszustwa Co się dzieje Czy można je wykryć przed zakupem?
Honeypot (inteligentny kontrakt) Bloki kontraktowe sprzedają się zgodnie z projektem od pierwszego dnia Tak, symuluj sprzedaż
Pociągnięcie dywanu Zespół gromadzi fundusze lub zapewnia płynność finansową, a następnie je później wyciąga Częściowo obserwuj status blokady LP i przejrzystość zespołu
Pompuj i zrzucaj Portfele osób z wewnątrz firmy wypadają w sklepach detalicznych po fali szumu informacyjnego Trudne, wymaga analizy dostaw w łańcuchu dostaw
Phishing Złośliwy link zbiera Twój klucz prywatny lub frazę początkową Tak, kontrola adresu URL, portfel sprzętowy, brak udostępniania seedów
Fałszywa wymiana Strona internetowa akceptuje depozyty, ale blokuje wypłaty Tak, zarejestrowany podmiot, wiek domeny, opinie społeczności
Czyściciel portfeli Oszuści podają Ci frazę startową; zdeponowany przez Ciebie gaz zostaje skradziony Tak, nigdy nie używaj portfela, którego frazę początkową podała inna osoba

Honeypot to miejsce, w którym pułapka jest wbudowana w kod, zanim jeszcze pojawi się on na miejscu. Wyciąganie dywanów wymaga od zespołu późniejszego działania. Honeypoty działają automatycznie, dlatego są tak łatwe w skalowaniu; po wdrożeniu oszust praktycznie nie musi się pojawiać.

Jak zmienia się działanie oszustw typu honeypot w przypadku monet memowych

Monety memowe, zwłaszcza na platformie Solana, to miejsca, w których eksplodowały taktyki zbliżone do honeypotów. Raport Solidus Labs obejmujący okres od stycznia 2024 do marca 2025 roku wskazał 98,6% wszystkich tokenów Pump.fun jako „pump-and-dumps” lub „rug pulls”. Sam Pump.fun wyemitował ponad 11,9 miliona tokenów i regularnie odpowiada za około 71% wszystkich premier tokenów Solana w ciągu jednego dnia. Oszustwa te wykorzystują te same mechanizmy socjotechniczne, co klasyczne honeypoty, przerobione na potrzeby odbiorców memów. Resztę robi strach przed przegapieniem okazji.

Powód jest strukturalny. Pump.fun pozwala każdemu stworzyć token w kilka sekund, praktycznie bez kapitału. Uruchom token, kup pierwsze kilkaset dolarów samodzielnie, wypromuj go na X i czekaj. Jeśli znajdą się chętni, pozbądź się go. Jeśli nie, porzucasz token i idziesz dalej. Pomnóż to przez milion portfeli, a otrzymasz ekosystem, w którym kupowanie każdej nowej monety memowej jest bliższe pociągnięciu za rączkę automatu do gry niż inwestowaniu.

Nie każda moneta memowa to honeypot w czystym sensie „nie da się sprzedać”. Jednak struktura kosztów premiuje wolumen, a nie jakość. Te same badania Solidus Labs wykazały, że 93% z 388 000 analizowanych przez nich pul płynności Raydium wykazywało łagodne zachowanie polegające na „wyciąganiu dywanu”. Z około 7 milionów tokenów memowych Solana z jakąkolwiek historią handlową, tylko około 97 000 kiedykolwiek utrzymało płynność powyżej 1000 USD. Takie liczby powinny zmienić twoje założenia dotyczące ryzyka.

Audyty inteligentnych kontraktów i wykrywanie pułapek typu honeypot

Audyty kontraktów to nudna dorosła osoba w pokoju. Prawidłowy audyt inteligentnych kontraktów, przeprowadzony przez firmę taką jak Halborn, CertiK, PeckShield, Trail of Bits czy SlowMist, odczytuje kod linijka po linijce, symuluje przypadki skrajne i certyfikuje (lub odrzuca) kontrakt. Audyty nie gwarantują bezpieczeństwa, ale szybko odfiltrowują najbardziej prymitywne honeypoty.

Dla początkującego, który rozważa zakup nowego tokena, praktyczne pytanie nie brzmi „czy przeszedł audyt”, ale „czy przeszedł audyt przeprowadzony przez renomowaną firmę i czy audyt obejmował aktualną wersję umowy”. Wiele podejrzanych tokenów zawiera w materiałach marketingowych wzmiankę o „audycie” i link do pliku PDF firmy, o której nikt nie słyszał, lub prawdziwy audyt przeprowadzony na starszej wersji kodu.

W przypadku tokenów bez audytów, a takich jest większość, kolejnym najlepszym rozwiązaniem jest automatyczne wykrywanie honeypotów. Darmowe narzędzia, które warto znać:

Narzędzie Co to robi Działa na
Honeypot.is Symuluje kupno i sprzedaż, sygnalizuje powrót do sprzedaży Ethereum, łańcuch BNB, baza
Sniffer tokenów Skanowanie wzorców kodu + flagi funkcji właściciela + wynik ryzyka 15 łańcuchów, monitorowanych 47,9 mln tokenów
Skaner De.Fi Analiza statyczna + symulacja Ethereum, BSC, Polygon, Base, Solana
QuillCheck Przegląd kodu i alerty w czasie rzeczywistym Ethereum, BSC, Wielokąt, Arbitrum
Interfejs API zabezpieczeń GoPlus Używane przez Alchemy, 1-calowe portfele; żywe flagi honeypot Wielołańcuchowy
Komentarze Etherscan Ostrzeżenia społeczności od wcześniejszych ofiar, takich jak użytkownicy Etherscan lub BscScan Ethereum, Baza, BSC

Zawsze przepuszczaj token przez co najmniej dwa narzędzia, a nie tylko jedno. Żaden pojedynczy skaner nie wykryje wszystkich wariantów, a twórcy honeypotów nieustannie się dostosowują, aby wyprzedzać narzędzia sprawdzające, które zyskały popularność w zeszłym miesiącu.

Czerwone flagi wskazujące na pułapkę typu honeypot

Nie musisz czytać Solidity, aby wykryć większość honeypotów. Oto sygnały ostrzegawcze, które powinny Cię powstrzymać przed zakupem.

  • Token został utworzony niecałe 24 godziny temu i ma mniej niż 500 posiadaczy. Wczesne tokeny są nieproporcjonalnie często pułapkami. Sprawdzanie historii transakcji tokena w Etherscan przed zakupem to podstawowy nawyk, który często się zdarza.
  • Lista posiadaczy pokazuje jeden portfel posiadający ponad 20% podaży lub dwa lub trzy portfele posiadające łącznie ponad 60%. To jest Twój podpis „pump and dump”.
  • Płynność nie jest zablokowana lub blokada wygasa po kilku dniach, a nie miesiącach. Sprawdź na Unicrypt lub Team Finance.
  • Obietnice wysokich zysków, które brzmią zbyt pięknie, aby mogły być prawdziwe: „100x do piątku”, „gwarantowane 10x w przyszłym tygodniu”, „tylko 1000 portfeli może wybić”. To poważny sygnał ostrzegawczy. Pośpiech to tlen dla oszustów.
  • Brak weryfikowalnych sygnałów zespołu ani legalności. Losowy mod Discorda, anonimowy użytkownik i brak profili na LinkedIn. Nie jest to automatycznie oszustwo, ale warto zrobić dramatyczną pauzę.
  • Kontrakt obejmuje funkcje „mint”, „pause”, „blacklist” lub „setFee” dostępne tylko dla właściciela bez blokady czasowej. Nawet bez złych intencji, jeden zhakowany klucz może później wprowadzić kupujących w błąd.
  • Kanał Telegram ma tysiące użytkowników, ale rozmowy wydają się być wyreżyserowane. Farmy botów często powtarzają te same obietnice na wszystkich kontach. Zwróć uwagę na powtarzające się sformułowania.
  • Wykres tokenów pokazuje dużo kupna i prawie zero sprzedaży. Prawdziwe tokeny mają jedno i drugie. Brak sprzedaży jest często najwyraźniejszym sygnałem, że mamy do czynienia z honeypotem w czasie rzeczywistym, ponieważ oszustwo celowo blokuje użytkownikom możliwość sprzedaży.

Te sygnały ostrzegawcze pomogą Ci zidentyfikować potencjalnie pułapki w postaci tokenów i uniknąć stania się ich ofiarą, gdy pojawi się nowa kryptowaluta.

Większość kupujących traci pieniądze na honeypotach nie dlatego, że sygnały były niewidoczne, ale dlatego, że strach przed porażką (FOMO) wziął górę nad intuicją. Kiedy oszust może sprzedać, a nikt inny nie może, szybkie decyzje zawsze trafiają w ręce oszusta.

Co zrobić, jeśli wpadłeś w pułapkę kryptowalutową?

Pierwsze zdanie jest szczere: szanse na odzyskanie danych są nikłe. W przypadku honeypotów opartych wyłącznie na inteligentnych kontraktach, odzyskanie danych jest praktycznie zerowe, ponieważ te oszustwa mają na celu uniemożliwienie jakiegokolwiek zwrotu pieniędzy. Jeśli chodzi o szersze przypadki, raport SlowMist z 2024 roku wykazał, że zwrócono jedynie 8,25% z 2,013 miliarda dolarów wszystkich incydentów bezpieczeństwa. Odzyskiwanie danych z honeypotów jest nawet niższe niż ta liczba.

Niemniej jednak warto podjąć pewne praktyczne kroki.

Zaprzestań interakcji z kontraktem. Nie podpisuj żadnych transakcji z nim związanych, nawet tych, które rzekomo mają na celu „odblokowanie” Twoich tokenów. To prawie zawsze kolejne oszustwa.

Cofnij wszystkie udzielone zgody na tokeny. Użyj Revoke.cash lub narzędzia Etherscan do sprawdzania akceptacji tokenów, aby znaleźć kontrakty, które nadal mają pozwolenie na wydawanie tokenów z Twojego portfela. Cofnij je.

Udokumentuj wszystko. Zapisz adres kontraktu, skróty transakcji, stronę internetową lub Telegram, na której znalazłeś token, i wszelkie otrzymane wiadomości. Zrzuty ekranu są ważne.

Zgłaszaj zgłoszenia. FBI IC3 przyjmuje skargi dotyczące oszustw kryptowalutowych w USA. FTC przyjmuje zgłoszenia oszustw na stronie reportfraud.ftc.gov. W Wielkiej Brytanii – Action Fraud. Każdy kraj ma swoją własną instytucję. Zgłoś również sam token w Etherscan lub BscScan, aby inni użytkownicy zobaczyli ostrzeżenie, a także w Token Sniffer, jeśli nie znajduje się on jeszcze na liście. Większość giełd kryptowalut oznaczy również adres na żądanie, jeśli skradzione środki zostały ostatecznie przelane na ich platformę.

Nie korzystaj z usług odzyskiwania danych, które wysyłają Ci wiadomości na Telegramie, Twitterze, Instagramie ani e-mailu. To kategoria oszustw następczych i jest bardzo powszechna. Prawdziwym odzyskiwaniem danych, jeśli już się zdarzy, zajmują się organy ścigania i profesjonalne firmy zajmujące się analizą blockchain (Chainalysis, TRM Labs, Elliptic), które nie reklamują się w Twoich wiadomościach prywatnych.

Udostępnij adres kontraktu publicznie. Jeśli token jest potwierdzonym honeypotem, upublicznienie tej informacji uratuje kolejną osobę.

Marco Lucchetti
Marco Lucchetti
Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.

Related articles

Jak anonimowo kupić Bitcoiny za pomocą karty kredytowej

Jak anonimowo kupić Bitcoiny za pomocą karty kredytowej

Kupuj Bitcoiny anonimowo i bezpiecznie za pomocą karty kredytowej…

Czytaj teraz
Jak kupić Bitcoina w Brazylii: Przewodnik dla początkujących po...

Jak kupić Bitcoina w Brazylii: Przewodnik dla początkujących po...

Przewodnik po bezpiecznym i łatwym zakupie Bitcoinów w Brazylii.…

Czytaj teraz
Przewodnik po adresach portfeli kryptowalutowych: Znajdź bezpiecz...

Przewodnik po adresach portfeli kryptowalutowych: Znajdź bezpiecz...

Odblokowywanie adresów portfeli: klucze do świata kryptowalut.…

Czytaj teraz

Jakieś pytania?

Tak, i właśnie dlatego audyty inteligentnych kontraktów i analiza on-chain wciąż mają znaczenie. Dopracowana strona internetowa, znany influencer i prezentacja, która skanuje jak notatka VC, nie zapobiegają ukryciu ograniczeń sprzedaży w kontrakcie ani funkcji właściciela po uruchomieniu. Zarówno przypadek LIBRA 2025, jak i HAWK 2024 wyglądały na czyste. Oba kosztowały kupujących setki milionów.

Tak. Oszustwa typu honeypot kwalifikują się jako oszustwo w większości krajów. Amerykańscy prokuratorzy stosują przepisy dotyczące oszustw elektronicznych, oszustw związanych z papierami wartościowymi lub nieautoryzowanego dostępu. Praktyczną przeszkodą jest egzekwowanie prawa. Operatorzy często działają anonimowo i poza granicami kraju, więc aresztowania są rzadkie. Jedną z niewielu spraw, w których toczy się obecnie prawdziwe śledztwo, jest federalne śledztwo w Argentynie dotyczące tokena $LIBRA z 2025 roku, w którym znane osobistości publiczne faktycznie odpowiadają na pytania.

Realistycznie rzecz biorąc, nie. Skuteczność odzyskiwania danych z honeypotów jest bliska zeru. Oszuści pozostają anonimowi, pieniądze przepływają przez miksery, nie ma kogo pozwać. Dane SlowMist z 2024 roku pokazały, że w branży odzyskano jedynie 8,25% z 2,013 miliarda dolarów całkowitych strat w zakresie bezpieczeństwa, a skuteczność odzyskiwania danych z wykorzystaniem metody „rug-pull” i honeypotów jest znacznie poniżej tej średniej. Zgłoś oszustwo do IC3, FTC lub lokalnego odpowiednika i nie płać za „usługę odzyskiwania danych”, która wysyła Ci wiadomość prywatną.

Honeypot: pułapka jest wbudowana w kontrakt od pierwszego dnia. Sprzedaż nigdy nie działa, celowo. Rug pull: zespół traci płynność lub porzuca projekt, gdy pojawią się chętni. Sprzedaż działa przez jakiś czas, a potem upada. Honeypoty są pasywne. Rug pull są aktywne. Oba zostawiają cię z bezwartościowymi tokenami. Mechanika jest inna i to wpływa na to, jak szukasz sygnałów ostrzegawczych.

Przed zakupem przepuść kontrakt przez co najmniej dwa dedykowane skanery. Honeypot.is symuluje proces kupna i sprzedaży w obie strony. Token Sniffer lub De.Fi Scanner dodaje flagi wzorca kodu i funkcji właściciela. Następnie sprawdź listę posiadaczy w Etherscan lub BscScan. Jeśli jeden lub dwa portfele posiadają większość podaży, zrezygnuj. Tokeny krótsze niż 48 godzin i mniej niż 500 posiadaczy powinny być traktowane jako niebezpieczne do czasu udowodnienia czegoś innego.

Kryptowalutowy honeypot to pułapka, token, portfel, strona internetowa, która z radością przyjmuje depozyt, a następnie blokuje wyjście. Termin ten pochodzi z cyberbezpieczeństwa lat 80., gdzie honeypoty wabiły atakujących. W kryptowalutach sytuacja jest odwrotna. Teraz celem są zwykli inwestorzy. Przynętą jest zazwyczaj nowy, popularny token, moneta memowa lub portfel, który wygląda na wypchany darmowymi środkami.

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.